Nowe zero-day w MS Exchange to powa\u017cne zagro\u017cenie dla cyberbezpiecze\u0144stwa firm. Nie dziwi wi\u0119c fakt, \u017ce Microsoft naciska na klient\u00f3w, aby jak najszybciej zainstalowali najnowsze poprawki awaryjne. Jak dot\u0105d tylko jedna grupa hackerska – nazwana Hafnium – aktywnie wykorzystuj\u0105ca luki, ale sytuacja mo\u017ce si\u0119 zmieni\u0107 w dowolnym momencie. Najlepsz\u0105 ochron\u0105 przed atakiem jest wi\u0119c zastosowanie nowych poprawek teraz – nie jutro lub w kolejnym tygodniu. Wi\u0119cej informacji wyczytacie poni\u017cej.<\/p>\n\n\n\n\n\n\n\n
Microsoft wyda\u0142 w\u0142a\u015bnie cztery \u201eextra\u201d poprawki dla wszystkich wspieranych wersji MS Exchange. Sk\u0105d ten po\u015bpiech? St\u0105d, \u017ce wykryto cztery powa\u017cne b\u0142\u0119dy klasy zero-day, kt\u00f3re ju\u017c s\u0105 aktywnie wykorzystywane w cyberatakach. Oddzielnie s\u0105 one \u201etylko\u201d gro\u017ane, po\u0142\u0105czone razem pozwalaj\u0105 m.in. uzyska\u0107 dost\u0119p do serwer\u00f3w Microsoft Exchange, wykrada\u0107 poczt\u0119 e-mail\u2026 Daj\u0105 tak\u017ce atakuj\u0105cym mo\u017cliwo\u015b\u0107 wpuszczenia dodatkowego z\u0142o\u015bliwego oprogramowania, by zwi\u0119kszy\u0107 dost\u0119p do zainfekowanej sieci.<\/p>\n\n\n\n
Aby atak zadzia\u0142a\u0142, atakuj\u0105cy musz\u0105 uzyska\u0107 dost\u0119p do lokalnego serwera Microsoft Exchange na porcie 443. Je\u015bli jest to mo\u017cliwe, cyberprzest\u0119pcy wykorzystuj\u0105 nast\u0119puj\u0105ce luki w zabezpieczeniach:<\/p>\n\n\n\n
CVE-2021-26855 to luka w zabezpieczeniach Exchange s\u0142u\u017c\u0105ca do fa\u0142szowania \u017c\u0105da\u0144 po stronie serwera (SSRF).
CVE-2021-26857 to luka w zabezpieczeniach deserializacji w us\u0142udze Unified Messaging.
CVE-2021-26858 luka w zabezpieczeniach umo\u017cliwiaj\u0105ca zapis dowolnego pliku w Exchange (post-authentication).
CVE-2021-27065 to kolejna luka wyst\u0119puj\u0105ca pod stronie MS Exchange \u2013 r\u00f3wnie\u017c umo\u017cliwia zapis dowolnego pliku.<\/p>\n\n\n\n
Po uzyskaniu dost\u0119pu do podatnego serwera Exchange, atakuj\u0105cy mog\u0105 zainstalowa\u0107 web shell, z kt\u00f3rej pomoc\u0105 wykradaj\u0105 dane, przesy\u0142aj\u0105 pliki i wykonuj\u0105 w zasadzie dowolne polecenia w zaatakowanym systemie. W dalszych krokach przest\u0119pcy s\u0105 r\u00f3wnie\u017c w stanie wykona\u0107 zrzut pami\u0119ci pliku wykonywalnego LSASS.exe w celu zebrania danych uwierzytelniaj\u0105cych z pami\u0119ci podr\u0119cznej za pomoc\u0105 w\u0142a\u015bnie pow\u0142oki. I to w\u0142a\u015bnie w ten spos\u00f3b s\u0105 w stanie wyeksportowa\u0107 skrzynki pocztowe i skradzione dane z serwera Exchange i przes\u0142a\u0107 je do us\u0142ug udost\u0119pniania plik\u00f3w, takich jak MEGA – sk\u0105d p\u00f3\u017aniej s\u0105 w stanie je \u0142atwo pobra\u0107. Atakuj\u0105cy mog\u0105 r\u00f3wnie\u017c utworzy\u0107 remote shell \u2013 i bez wi\u0119kszego problemu zarz\u0105dza\u0107 ca\u0142\u0105 wewn\u0119trzn\u0105 infrastruktur\u0105. <\/p>\n\n\n
Wszystko wskazuje na to, \u017ce pierwsze ataki mia\u0142y miejsce 6 stycznia br. Raport przedstawiony przez specjalist\u00f3w z Volexity – kt\u00f3rzy wykryli anomaln\u0105 aktywno\u015b\u0107 dw\u00f3ch klient\u00f3w Microsoft. Zaobserwowali oni wysy\u0142anie du\u017cej ilo\u015bci danych na adresy IP, kt\u00f3re ich zdaniem, nie by\u0142y powi\u0105zane z rzeczywistymi u\u017cytkownikami. Bli\u017csza analiza ujawni\u0142a przychodz\u0105ce \u017c\u0105dania POST do plik\u00f3w powi\u0105zanych z obrazami, JavaScript, CSS i czcionkami u\u017cywanymi przez Outlook Web Access.<\/p>\n\n\n\n
Chocia\u017c Microsoft okre\u015bli\u0142 ataki mianem \u201eDla wielu organizacji serwer Exchange odgrywa kluczow\u0105 rol\u0119 – i w\u0142a\u015bnie dlatego jest cennym \u0142upem. Wygl\u0105da na to, \u017ce atakuj\u0105cy skanuj\u0105 teraz sie\u0107 w poszukiwaniu punkt\u00f3w ko\u0144cowych, podatnych na atak. Prawie 200 organizacji i ponad 350 pow\u0142ok internetowych zosta\u0142o ju\u017c zhakowanych.<\/p>\n\n\n
Warto zacz\u0105\u0107 od zweryfikowania log\u00f3w serwera web \u2013 sprawd\u017a, czy nie mia\u0142a miejsca podejrzana aktywno\u015b\u0107, czy nie dosz\u0142o do zaimplementowania web shell, o kt\u00f3rej pisali\u015bmy wcze\u015bniej. Zmiana uprawnie\u0144 u\u017cytkownika lub u\u017cytkownik\u00f3w administracyjnych powinna r\u00f3wnie\u017c wzbudzi\u0107 podejrzliwo\u015b\u0107 i sk\u0142ania\u0107 do bli\u017cszego przyjrzenia si\u0119 infrastrukturze\u2026 zawsze.<\/p>\n\n\n\n
\u0179r\u00f3d\u0142o: 1<\/a> | 2<\/a><\/p>\n\n\n\n Alexander Popov – security developer w firmie Positive Technologies \u2013 natrafi\u0142 na zestaw pi\u0119ciu luk w zabezpieczeniach implementacji gniazda wirtualnego j\u0105dra Linuksa. Wspomniane luki (CVE-2021-26708, ocena 7,0 CVSS) mog\u0105 pos\u0142u\u017cy\u0107 atakuj\u0105cym do uzyskania dost\u0119pu bezpo\u015brednio do root\u2019a i uziemienia serwer\u00f3w za pomoc\u0105 ataku Denial of Service (DoS).<\/p>\n\n\n Podatno\u015bci wykryto w dystrybucji Linux rozwijanej przez spo\u0142eczno\u015b\u0107 Red Hat \u2013 chodzi o Fedora 33 Server. Wyst\u0119puj\u0105 one w systemach, kt\u00f3re u\u017cywaj\u0105 j\u0105dra Linux od wersji 5.5 (listopad 2019) do aktualnej wersji j\u0105dra g\u0142\u00f3wnego 5.11-rc6. Dziury pojawi\u0142y si\u0119 po dodaniu obs\u0142ugi wielu transport\u00f3w przez gniazdo wirtualne. Jest powszechnie u\u017cywany przez agent\u00f3w go\u015bci i us\u0142ugi hiperwizora, kt\u00f3re wymagaj\u0105 kana\u0142u komunikacyjnego niezale\u017cnego od konfiguracji sieci maszyny wirtualnej.<\/p>\n\n\n\n The bugs were discovered in Red Hat’s community Linux distribution Fedora 33 Server. They exist in the systems which are using the Linux kernel from November 2019’s version 5.5 to the current mainline kernel version 5.11-rc6.<\/p>\n\n\n\n Wirtualne sockety otrzyma\u0142y obs\u0142ug\u0119 wielu transport\u00f3w (multi-transport support). Zazwyczaj s\u0105 one wykorzystywane przez tzw. Guest agents oraz us\u0142ugi hypervisora, kt\u00f3re potrzebuj\u0105 kana\u0142u do komunikacji, niezale\u017cnego od konfiguracji wirtualnej sieci \/ konfiguracji sieci maszyny wirtualnej.<\/p>\n\n\n G\u0142\u00f3wnym problemem s\u0105 warunki zawarte w sterownikach j\u0105dra – CONFIG_VSOCKETS i CONFIG_VIRTIO_VSOCKETS . S\u0105 one dostarczane jako modu\u0142y j\u0105dra we wszystkich g\u0142\u00f3wnych dystrybucjach Linuksa. Powodem, dla kt\u00f3rego jest to taka istotna kwestia jest fakt, \u017ce za ka\u017cdym razem, gdy zwyk\u0142y u\u017cytkownik tworzy gniazdo AF_VSOCK, podatne modu\u0142y zostaj\u0105 automatycznie za\u0142adowane. Tzw. race conditions maj\u0105 miejsce gdy zasadnicze zachowanie systemu zale\u017cy od kolejno\u015bci lub czasu niekontrolowanych wydarze\u0144.<\/p>\n\n\n\n \u0141atka opracowana przez Alexandr\u2019a Popov zosta\u0142a ju\u017c w\u0142\u0105czona do wersji Linux 5.10.13 z 3 lutego. Zosta\u0142a ona ju\u017c r\u00f3wnie\u017c w\u0142\u0105czona do g\u0142\u00f3wnego j\u0105dra w wersji 5.11-rc7. Popularne dystrybucje jak Red Hat Enterprise Linux (RHEL) 8, Debian, Ubuntu i SUSE zosta\u0142y tak\u017ce zaktualizowane.<\/p>\n\n\n\n \u0179r\u00f3d\u0142o<\/a><\/p>\n\n\n\n System dystrybucji infostealera Gootkit przekszta\u0142ci\u0142 si\u0119 w z\u0142o\u017cony i ukryty mechanizm, kt\u00f3ry otrzyma\u0142 w\u0142asn\u0105 nazw\u0119 – Gootloader. Teraz rozpowszechnia szersz\u0105 gam\u0119 z\u0142o\u015bliwego oprogramowania za po\u015brednictwem zhakowanych witryn WordPress i z\u0142o\u015bliwych technik SEO dla wynik\u00f3w wyszukiwania Google. Zagro\u017cenie dystrybuowane jest w wielu regionach z setek zhakowanych serwer\u00f3w, kt\u00f3re s\u0105 stale aktywne.<\/p>\n\n\n\n Udokumentowany po raz pierwszy w 2014 roku, Gootkit by\u0142 z\u0142o\u015bliw\u0105 platform\u0105 opart\u0105 na Javascript, kt\u00f3ra s\u0142u\u017cy\u0142a do przeprowadzania szeregu przest\u0119pczych dzia\u0142a\u0144. W tym web injection, przechwytywania zdarze\u0144 klawiatury, robienia zrzut\u00f3w ekranu, nagrywania film\u00f3w, kradzie\u017cy maili i hase\u0142. <\/p>\n\n\n\n Z biegiem lat narz\u0119dzie ewoluowa\u0142o i zyska\u0142o nowe funkcje do kradzie\u017cy informacji. Sam loader Gootkit zacz\u0105\u0142 by\u0107 wykorzystywany w po\u0142\u0105czeniu z REvil\/Sodinokibi ransomware. Ostatnio przest\u0119pcy stworzyli rozleg\u0142\u0105 sie\u0107 zhakowanych witryn WordPress, wykorzystuj\u0105c zatruwanie SEO, aby w wynikach wyszukiwania Google wy\u015bwietla\u0107 fa\u0142szywe wpisy na forach zawieraj\u0105ce z\u0142o\u015bliwe linki. <\/p>\n\n\n\n Atakuj\u0105cy zmodyfikowali systemy zarz\u0105dzania tre\u015bci\u0105 (CMS) zaatakowanych witryn internetowych, aby pokazywa\u0107 fa\u0142szywe fora dyskusyjne. Wy\u015bwietlaj\u0105 one odwiedzaj\u0105cym z okre\u015blonych obszar\u00f3w geograficznych dyskusje, kt\u00f3re rzekomo zawieraj\u0105 odpowied\u017a na ich zapytania. W po\u015bcie od \u201cadministratora strony\u201d znajduje si\u0119 link do z\u0142o\u015bliwego pliku. <\/p>\n\n\n\n Co wi\u0119cej, wyniki wyszukiwania wy\u015bwietlaj\u0105 fora, kt\u00f3re nie maj\u0105 logicznego powi\u0105zania z wyszukiwanym has\u0142em, co mo\u017ce wskazywa\u0107 na to, \u017ce atakuj\u0105cy maj\u0105 rozleg\u0142\u0105 sie\u0107 zhakowanych witryn. <\/p>\n\n\n\n Klikni\u0119cie w link przenosi u\u017cytkownika do archiwum ZIP z plikiem JavaScript, kt\u00f3ry dzia\u0142a jako infektor. \u0141adunek ten jest podw\u00f3jnie zaciemniony, aby unikn\u0105\u0107 wykrycia przez tradycyjne rozwi\u0105zania antywirusowe. Obejmuje r\u00f3wnie\u017c dwie warstwy szyfrowania string\u00f3w i data blob\u00f3w warunkuj\u0105cych dalsz\u0105 cz\u0119\u015b\u0107 ataku.<\/p>\n\n\n\n Je\u015bli przej\u015bcie do drugiego etapu powiedzie si\u0119, serwer C&C Gootloader dostarczy ci\u0105g warto\u015bci liczbowych reprezentuj\u0105cych znaki ASCII, kt\u00f3ry jest \u0142adowany do pami\u0119ci systemowej.<\/p>\n\n\n\n Jego celem jest odkodowanie tre\u015bci zapisanej wcze\u015bniej w kluczach rejestru. Ostatecznie ko\u0144czy si\u0119 pobraniem ostatniego \u0142adunku, kt\u00f3rym mo\u017ce by\u0107 Gootkit, REvil, Kronos lub Cobalt Strike.<\/p>\n\n\n\n Microsoft potwierdzi\u0142 technik\u0119 infekcji Gootloader twierdz\u0105c, \u017ce zaobserwowano liczne ataki wymierzone w szczeg\u00f3lno\u015bci na u\u017cytkownik\u00f3w w Niemczech. <\/p>\n\n\n\n \u0179r\u00f3d\u0142a 1<\/a> | 2<\/a><\/p>\n\n\n\nWirtualne sockety j\u0105dra Linux z a\u017c pi\u0119cioma powa\u017cnymi lukami bezpiecze\u0144stwa<\/strong><\/h2>\n\n\n
Niebezpieczne b\u0142\u0119dy\u2026<\/strong><\/h5>\n\n\n
\u201eJ\u0105dro\u201d problemu\u2026<\/strong><\/h5>\n\n\n
Gootloader: Hakerzy u\u017cywaj\u0105 black hat SEO do wysy\u0142ania ransomware i trojan\u00f3w za po\u015brednictwem Google i for\u00f3w<\/strong><\/h2>\n\n\n